文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布
社区首页 >专栏 >ACL 原理与配置

ACL 原理与配置

原创
作者头像
知孤云出岫
发布2025-08-01 15:47:14
发布2025-08-01 15:47:14
5760
举报

✅ ACL 原理与配置

📘 一、ACL(访问控制列表)概述

项目

内容说明

全称

Access Control List(访问控制列表)

功能

对 IP 数据流量进行过滤(permit/deny)

应用场景

流量过滤、防火墙、NAT、QoS、路由策略等

原理

基于报文内容匹配规则,执行相应动作

ACL 应用于以下典型场景

  • 限制不同子网互访
  • 局域网细粒度访问控制
  • 防止特定 IP/端口访问
  • 配合 NAT 实现地址转换规则控制
  • 路由策略过滤
  • QoS 分类流量

📗 二、ACL 组成与匹配逻辑

✅ 组成结构

每条 ACL 包括:

  • 规则编号(Rule ID)
  • 动作(permit / deny)
  • 匹配条件(如源 IP、目的 IP、端口等)

例:

代码语言:bash
复制
acl number 2000
rule 5 deny source 192.168.1.1 0
rule 10 permit source 192.168.1.0 0.0.0.255
✅ 匹配逻辑
  • 按编号从小到大顺序匹配
  • 命中即停止匹配(首次匹配原则)
  • 未命中任何规则则默认deny
✅ 步长机制

默认编号步长为5,便于后续插入规则。

📙 三、ACL 分类详解

类型

编号范围

匹配依据

基本ACL

2000–2999

源IP、时间段

高级ACL

3000–3999

源/目的IP、协议类型、端口、时间段等

二层ACL

4000–4999

源/目的 MAC、二层协议

用户自定义ACL

5000–5999

报文偏移位置、字符串匹配等

用户ACL

6000–6999

IP或UCL组、端口、协议、ICMP类型等

🔹 支持数字型与命名型ACL

📒 四、通配符 Wildcard 使用

通配符

含义说明

0

严格匹配

1

任意匹配

0.0.0.0

完全匹配(一个IP地址)

255.255.255.255

匹配所有(any)

示例:

  • 192.168.1.0 0.0.0.255 → 匹配192.168.1.0/24网段
  • 192.168.1.1 0.0.0.0 → 精确匹配单个IP
  • 0.0.0.0 255.255.255.255 → 匹配所有IP

📘 五、ACL方向及部署接口

  • Inbound(入方向):ACL用于过滤进入接口的数据流
  • Outbound(出方向):ACL用于过滤离开接口的数据流

ACL 的效果取决于部署的方向!

🧰 六、ACL配置命令汇总

✅ 基本ACL配置命令
代码语言:bash
复制
[Huawei] acl 2000
[Huawei-acl-basic-2000] rule 5 deny source 192.168.1.0 0.0.0.255
[Huawei-acl-basic-2000] rule 10 permit source any
✅ 高级ACL配置命令(示例:TCP端口)
代码语言:bash
复制
[Huawei] acl 3000
[Huawei-acl-adv-3000] rule 5 deny tcp source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255 destination-port eq 80
✅ 应用到接口:
代码语言:bash
复制
[Huawei] interface GigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1] traffic-filter inbound acl 2000

🧪 七、实战案例解析

📌 案例1:禁止192.168.1.0/24访问服务器
代码语言:bash
复制
[Huawei] acl 2000
[Huawei-acl-basic-2000] rule deny source 192.168.1.0 0.0.0.255
[Huawei-acl-basic-2000] rule permit source any
[Huawei] interface GigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1] traffic-filter inbound acl 2000
📌 案例2:禁止两个部门互访
  • 研发:10.1.1.0/24
  • 市场:10.1.2.0/24
代码语言:bash
复制
[Huawei] acl 3001
[Huawei-acl-adv-3001] rule deny ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255

[Huawei] acl 3002
[Huawei-acl-adv-3002] rule deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255

[Huawei] interface GigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1] traffic-filter inbound acl 3001

[Huawei] interface GigabitEthernet 0/0/2
[Huawei-GigabitEthernet0/0/2] traffic-filter inbound acl 3002

💡 八、重点思维导图结构建议(可视化辅助)

📚 九、附本章思考题(含答案)

  1. (单选)下列选项中,哪一项才是一条合法的基本ACL规则? ✅ 正确答案:C. rule permit source any
  2. 高级ACL可以基于哪些条件来定义规则? **答:**源/目的IP地址、协议类型(TCP/UDP/ICMP)、端口号、DSCP/ToS值、时间范围等。

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

网络通信

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

网络通信
评论
登录后参与评论
0 条评论
热度
最新
登录 后参与评论
推荐阅读
目录
  • ✅ ACL 原理与配置
    • 📘 一、ACL(访问控制列表)概述
    • 📗 二、ACL 组成与匹配逻辑
      • ✅ 组成结构
      • ✅ 匹配逻辑
      • ✅ 步长机制
    • 📙 三、ACL 分类详解
    • 📒 四、通配符 Wildcard 使用
    • 📘 五、ACL方向及部署接口
    • 🧰 六、ACL配置命令汇总
      • ✅ 基本ACL配置命令
      • ✅ 高级ACL配置命令(示例:TCP端口)
      • ✅ 应用到接口:
    • 🧪 七、实战案例解析
      • 📌 案例1:禁止192.168.1.0/24访问服务器
      • 📌 案例2:禁止两个部门互访
    • 💡 八、重点思维导图结构建议(可视化辅助)
    • 📚 九、附本章思考题(含答案)
领券

腾讯云开发者

扫码关注腾讯云开发者

扫码关注腾讯云开发者

领取腾讯云代金券

热门产品

热门推荐

更多推荐

Copyright © 2013 - 2025 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有 

深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 深公网安备号 44030502008569

腾讯云计算(北京)有限责任公司 京ICP证150476号 |  京ICP备11018762号 | 京公网安备号11010802020287

问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档

Copyright © 2013 - 2025 Tencent Cloud.

All Rights Reserved. 腾讯云 版权所有

登录 后参与评论